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摘 要 : 基于 格 上 困难 问题 设计 高 效 、 安 全 的 后 量子 密 钥 交换 协议 具有 非常 重要 的 理论 意义 和 实用 价值 。 提 出 了 一 种 
新 型 高 效 实用 的 基于 格 上 错误 学 习 问 题 被 动 安全 密 钥 交换 协议 。 该 协议 采用 加 密 机 制 的 构造 方式 并 使 用 了 密 文 压缩 技 
术 ， 与 2016 年 Bos 等 人 基于 错误 学 习 问 题 并 使 用 Peikert 错误 调和 机 制 设 计 的 密 钥 交换 协议 Frodo 相 比 ， 通 信 量 只 增 
加 了 1.09%， 但 方案 复杂 度 有 效 降低 ， 计 算 更 加 简洁 高 效 ， 且 协议 在 被 动 攻击 下 可 证 明 安 全 ， 可 有 效 抵御 量子 攻击 。 
该 协议 与 现 有 的 基于 错误 学 习 问 题 设计 的 密 钥 交换 协议 相 比 ， 有 具有 很 强 的 竞争 力 。 
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Abstract: The design of efficient and secure lattice-based post quantum key exchange protocols has certain practical and 
theoretical significance. In this paper, a scheme was proposed, which used straight-forward transformation LWE encryption 
mechanism and a ciphertext compression technology. This is a passively secure and practical key exchange protocol. Frodo was 
a key exchange Scheme based on LWE problem proposed by Bos et al, which used the error reconciliation mechanism proposed 
by Peikert. The main advantage of the scheme over Frodo is simplicity. Compared with Frodo, the communications traffic merely 
increased by only 1.09%, the complexity of the scheme is reduced effectively. The scheme is proved to be passive security, Also, 
which can resist quantum computer attacks. Compared with existing key exchange protocol based on learning with error, this 
protocol is very competitive. 
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全 。 美 国 国家 标准 和 技术 研究 院 “NIST)、 美 国 国家 安全 
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(NSA)、 以 及 由 欧盟 赞助 的 PQCRYPTO 项 目 目 前 已 经 在 全 


密 钥 交换 协议 (3 在 安全 通信 和 领域 中 具有 重要 的 基础 性 作 ”范围 内 展开 了 后 量子 密码 算法 标准 的 有 关 征集 工作 。 量 子 计算 


用 ， 它 使 得 两 方 或 多 方 通过 在 
会 


年 ，Diffie-Hellman 提出 了 第 一 个 密 钥 交换 协议 9]， 自 DH 密 钥 ” 美国 国家 标准 和 技术 研究 院 (NIST) 列 为 一 项 重大 科研 项 目 


和 则 两 方 或 多 公开 信道 上 交换 信息 达成 一 个 共 ”机 环境 下 可 证 明 安全 的 公 钥 密码 算法 的 研究 已 成 为 当前 密码 学 
享 的 会 话 密 钥 ， 被 认为 是 公 钥 密码 学 中 的 一 个 重要 应 用 。1976 界 的 热点 。 其 中 ， 后 量子 密 钥 交换 协议 的 需求 最 为 迫切 ， 己 被 
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交换 协议 提出 以 来 ， 由 于 它 的 构造 结构 简单 且 实 用 ， 因 此 之 后 。 因此 设计 高 效 安全 的 后 量子 密 钥 交换 协议 具有 重要 的 理论 意义 


很 多 密码 学 者 以 此 结构 为 基础 来 构造 高 效 的 密 钥 交换 协议 。 随 。 “和 应 用 价值 。 
量子 计算 技术 的 飞速 发 展 ， 基 于 经 典 的 数论 困难 问题 构造 的 


[ou 


于 格 理论 的 密码 系统 具有 较 高 的 渐进 效率 、 可 并 行 计算 、 


传统 公 钥 密码 算法 的 安全 性 面临 现实 威胁 。 美 国 国家 标准 和 技 。” ”可 抵御 量子 攻击 等 优点 ， 因 此 格 理论 被 公认 为 后 量子 密码 算法 


术 研 究 院 (NIST) 于 2015 年 颁布 的 后 量子 密码 学 报告 由 中 指出 : RE 及 的 训 部 入 近年 来 ， 基 于 格 理论 在 构造 加 密 5]、 数 
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由 于 量子 计算 技术 的 迅速 发 展 ， 现 有 的 公 钥 密码 标准 将 不 再 安 。 字 签 名 外 、 密 钥 交 换 (0" 吕 具有 可 证 明 安全 性 方案 以 及 基于 格 的 


录用 稿 


零 知 识 研究 09 等 方面 取得 了 大 量 研究 成 果 。2005 年 Regev 等 人 
提出 带 误 差 的 学 习 问 题 (learning with errors，LWE) L111， 并 指 
出 可 使 用 量子 规约 技术 将 LWE 问题 的 平均 情形 困难 性 和 格 上 
的 困难 问题 的 最 坏 情 形 困难 性 联系 起 来 .2010 年 , Lyubashevsky， 
Peikert 和 Regev 提出 了 基于 环 带 误差 的 学 习 问 题 1s] (ring 
learning with errors，RLWE)， 显 著 改 进 了 密 钥 长 度 的 大 小 并 有 
效 提升 了 执行 的 效率 .2015 年 , Langlois 和 Stele 研究 了 模 LWEL9]， 
它 是 LWE 与 RLWE 的 推广 。 基 于 LWE、RLWE、 模 LWE 在 密 
钥 交换 协议 的 构造 方面 已 经 得 到 了 广泛 应 用 。 

近 几 年 来 在 基于 格 困难 问题 构造 被 动 安全 的 密 钥 交换 协议 
方面 ， 出 现 了 许多 优秀 的 成 果 。 起 初 ，2012 年 丁 等 人 首次 提出 
种 基于 LWE 变 体 SLWE 的 密 钥 交换 协议 40， 并 将 该 方案 扩 
展 到 RLWE 上 。2014 年 ，Peikert 首先 提出 了 一 种 高 效 的 选择 
明文 安全 的 密 钥 封装 机 制 及 一 种 有 效 但 计算 复杂 的 错误 调和 机 
制 构造 认证 密 钥 交 换 协 议 01。 在 2015 年 ，Bos 等 人 在 S&P 会 


| ChinaXiv 合 作 期 二 
一 种 新 型 基于 格 上 LWE 问题 密 钥 交换 协议 的 


| 
|, 


李子 臣 ， 等 : 办 议 的 设 


1 ”基础 知识 


1.1 带 误差 学 习 问题 

定义 1 判定 性 LWE 问题 。 已 知 参数 >] ， 模 数 g>2， 
输入 数据 为 矩阵 A 和 向 量 v ,已 知 v=As+e, 其 中 A eZ ， 
seZr 且 满足 Aes MD) ，s4 一 U(Z%)， 即 矩阵 A、 向 
量 s 分 别 在 Z”* 和 中 按照 均匀 分 布 随 机 选择 , 错误 向 量 。 在 
2 上 服从 某 种 公开 的 概率 分 布 jm， 判定 性 LWE 问题 是 指 给 
定 (4,v) ,区 分 (4,v) 为 LWE 分 布 还 是 随机 选择 于 均匀 分 布 
(Za ,2Zo) 。 

定义 203 (xm 元) -矩阵 判定 性 LWE 问题 ,已 知 参数 >1， 
模 数 g >2，, 输入 数据 为 矩阵 A 和 向 量 y , 已 知 六 =AS+ 巨 ， 其 
中 AeZ” ， 且 满足 Ac U(Z”), 即 人 A 分别 在 Ze 中 按照 
均匀 分 布 随机 选择 ， 向 量 s 、 错 误 向 量 巨 分 别 在 2 和 Zw 上 服 
从 某 种 公开 的 的 概率 分 布 z、 和 2 ，( 肥 万) -矩阵 判定 性 LWE 问 


4 


议 上 提出 一 种 Diffie-Hellman 类 密 钥 交换 协议 03， 其 安全 性 基 


二 
于 RLWE 问题 ,进一步 将 Peikert 的 密 钥 封装 机 制 集成 到 了 TSL 
ST ”中 有 效 证 明了 协议 的 可 行 性 。 之 后 的 2016 年 USENIX 安全 会 
OO 议 上 ，Alkim，Ducas，P5pplemann 和 Schwabe 提出 了 一 个 基于 
RLWE 的 后 量子 密 钥 交换 方案 NewlHopel'1, 之 后 谷歌 公司 进行 
< 了 后 量子 TLS 实验 ， 在 Chrome 浏览 器 中 部 署 了 NewHope 方 
@ 案 并 进行 了 运行 效率 及 安全 性 能 测试 。 不 入，Alkim 等 人 在 
0D 。 NewHope 方案 的 基础 上 又 所 出 了 一 种 使 用 加 密 机 制 的 被 动 安 
”全 密 钥 交 换 协 议 NewHope-Simpletg。 该 协议 在 一 方 通信 量 上 
ON 色 冀 加 了 6.25%， 在 实现 分 享 密 钥 准确 度 和 有 效 性 不 变 的 情况 
写 ”下 ,并 且 未 使 用 计算 复杂 的 调和 技术 达到 了 几乎 与 NewHope 相 
>< 同 的 安全 性 能 。 虽然 RLWE 问题 环 的 代数 结构 使 得 密 钥 交换 广 
区 案 具有 更 为 实用 的 密 钥 尺寸 ， 可 构造 更 加 高 效 的 通信 协议 ， 但 
三。 是 REWE 问题 附加 环 的 代数 结构 可 能 存在 安全 性 能 上 的 潜在 
OO 威胁 。2016 年 CCS 大 会 上 ，Bos 等 人 使 用 Peikert 错误 调和 机 


制 的 多 比特 变形 提出 了 一 个 基于 LWE 问题 新 型 且 实 用 的 被 动 
安全 密 钥 交换 协议 Frodo05， 与 之 前 基于 RLWE 问题 构造 的 密 
钥 交 换 协 议 相 比 ， 虽 然 计算 时 间 和 通信 和 量 较 大 ， 但 安全 性 能 更 
可 靠 。 

本 文 主要 在 Bos 等 人 提出 的 基于 LWE 问题 构造 的 Frodo 
协议 的 基础 上 , 由 Alkim 等 人 设计 的 基于 RLWE 问题 使 用 加 密 
体制 的 方式 构造 的 NewHope-Simple 方案 得 到 启示 ， 提 出 了 一 
种 新 型 高 效 的 基于 LWE 问题 被 动 安全 的 密 钥 交换 协议 ， 使 用 
了 加 密 机 制 而 未 使 用 计算 复杂 的 错误 调和 机 制 , 计算 简洁 高 效 。 
该 方案 仅 以 一 方 通信 量 从 11296 字 节 增 至 11520 字 节 ， 大 小 仅 
增加 1.09% 的 微小 代价 ， 达 到 了 有 效 抵御 量子 攻击 同等 的 安全 
性 能 ， 并 使 用 了 NIST 杂凑 函数 标准 SHA-3， 进 一 步 提 高 了 协 
议 的 安全 度 。 与 现 有 的 基于 LWE 问题 设计 的 密 钥 交换 协议 相 
比 ， 具 有 较 强 的 竞争 力 。 
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题 是 指 给 定 (A,Y) ,区 分 (A,V) 为 LWE 分 布 还 是 随机 选择 于 均 
义 分 布 (Z,Zo) 。 
1.2 错误 调和 机 制 与 一 般 化 错误 调和 机 制 


1.2.1 错误 调和 机 制 (error reconciliation mechanism ) 


4Lq-| | Z 为 近似 取 整 本数, 定义 | x], =Lx.2]， 


90009 


b={0l.. ly, =| 1) ;定义 交叉 近似 函数 


、Z，， 具 体 地 ，(v), -| 二 moa2， 定义 模 近似 函数 
gq 


0， 当 ve UL: 
-| VS oUL;. 


引 理 100 对 于 偶数 q, 如 果 veZ, 是 均匀 随机 的 ,那么 给 


定 (v), 时 ，|v] 在 乙 上 也 是 均匀 随机 的 。 令 =| -4 .9 网 


调和 函数 rec:Z, xZ, 一 Z, 定义 为 

0, weE + 天 modq); 

其 他 . 

对 于 偶数 q, 如 果 w=vt+e modqg ， 且 


rec(w,b) = | 


引 理 200] 
weZ,,eekbk ,那么 rec(w,(v),)=Lvl, 


当 d 为 奇数 时 ， 为 了 避免 派生 未 流 的 不 均匀 性 ， 引 入 了 随 
机 化 函数 。 令 dp1:D, 一 DZ ,dp1Co0 =2x-z, 其 中 必 为 随机 项 ， 


为 0 的 概率 为 功 ,e 为 1 和 -1 的 概率 为 功 ， 从 而 保证 忆 在 


模 2 运算 后 是 均匀 的 。 
引 理 300 对 于 奇数 q, 如 果 ve2Z, 是 均匀 随机 的 ， 令 
V =dbl(v)e Zs ,那么 在 给 定 (dp1(v)), 的 情况 下 , [7 在 Z, 上 


E-[- 弘 ,94) ， 则 调和 函数 


是 均匀 随机 的 。 令 


rec: Z,, XZ, 一 Z 定义 为 
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0, wel+E(modq); 
1， 其 他 . 


rec(w,b) = | 
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对 于 Alice， 经 计算 得 到 的 环 元 素 值 为 = HS=ass'+e's， 


对 于 Bob， 计 算得 到 的 环 元 素 值 为 y= py’ +e"=ass' +es'+e”; 


引 理 4001 对 于 奇数 qd 令 v=mw+eeZ， WeEZ，， 日 


引 理 3 可 知 ,已 知 (5), 的 情况 下 ， 并 不 会 泄露 5], 的 任何 信 


2e+ze 巨 moddg ， 那 么 rec(2w,(5)) =L71,。 


1.2.2 一 般 化 错误 调和 机 制 〈generalized error reconciliation 
Imechanism ) 
Peikert 错误 调和 机 制 双 方 仅 能 通过 调和 函数 rec 提取 1 比 
特 密 钥 , 一 般 化 错误 调和 机 制 是 Peikert 错误 调和 机 制 的 多 比特 
变形 ， 可 保证 双方 可 以 通过 调和 函数 rec 提取 2s 比特 密 钥 。 
已 知 模 数 =2" ， 其 中 为 正 整数 ，B<(dogjd)-1， 令 
B=(og,q)-B， 对 于 任意 的 veZ， ， 定 义 近 似 函 数 
数 


Ll:v 3127 .vlmod2s ， 定义 交叉 近似 子 


(2 :7 二 |2 2 |mod2 o 


引 理 503 如 果 veZ, 是 均匀 随机 的 ， 那 么 给 定 (w) ,时 ， 
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Lv 在 Z,， 上 也 是 均匀 随机 的 。 


引 理 605] 如 果 |y -wl< 25-2 ， 那么 rec(w,(v),s) =Lv |, 。 


1.3 ”构造 被 动 安全 的 LWE 密 钥 交换 协议 的 两 种 方式 
基于 LWE 问题 构造 被 动 安全 密 钥 交 换 协 议 过 程 中 对 于 针 
对 LWE 问题 其 错误 向 量 的 处 理 是 需要 解决 的 关键 问题 ， 而 错 
误 向 量 的 存在 是 问题 困难 性 的 关键 ， 其 存在 使 得 通信 双方 得 到 
近似 相等 的 值 。 因此, 对 错误 的 处 理 是 基于 LWE 问题 设计 密 铀 
交换 协议 关键 的 技术 难点 。 对 于 错误 的 处 理 有 两 种 方式 ， 一 种 
是 基于 调和 机 制 ， 一 种 是 基于 加 密 机 制 。 
1.3.1 基于 调和 机 制 构造 密 钥 交换 协议 
Peikert 在 2014 年 后 量子 密码 会 议 上 提出 了 一 种 高 效 的 基 
于 错误 调和 机 制 构造 的 被 动 安全 密 钥 封 装 体制 ， 此 技术 成 为 了 
基于 格 理论 构造 认证 密 钥 交 换 协议 的 重要 基础 ， 后 续 在 Peikert 
错误 调和 机 制 的 基础 上 构造 了 许多 高 效 实 用 的 密 钥 交 换 协 议 。 
Bos 等 人 基于 RLWE 问题 ， 使 用 错误 调和 机 制 构造 了 一 个 密 钥 
交换 协议 ， 图 1 为 BCNS1502 方 案 的 具体 描述 。 


长 ] ”基于 调和 机 制 构造 的 密 钥 交换 协议 


KEM.Setup(): 
Ca< 二 R， 
Alice Bob 
KEM.Gen(a): KEM.Encaps(a,b): 
S,E€ 7 SE C'S 
baste 一 熏 > Has't+e 
vbs'+e” 
KEM.Decaps ((s, (44,0)): Vv € dbl(v) eZ,, 
Vy' <—214s Le ce (V), 
KH Rec(v',r) Le [yl, 


息 ， 并 且 在 v=w+e 时 ， 得 到 rec(2w,(V)) =[v | 。 因 此 ， 对 于 


Alice， 只 需 计算 4= rec(2psr) ， 而 Bob 计算 4w=|[ 立 |,， 因此 
Alice 与 Bob 经 过 密 钥 交换 得 到 共享 密 钥 wk 。 
1.3.2 基于 加 密 机 制 构造 密 钥 交换 协议 
使 用 错误 调和 机 制 构造 基于 格 的 密 钥 交 换 协 议 可 以 有 效 减 
计量 , 但 是 方案 的 计算 复杂 。 之 后 的 NewHope-Simple0“ 方 
案 和 基于 模 LWE09 问 题 的 KyberKEP9 方 案 均 是 使 用 加 密 机 制 
构造 的 密 钥 交换 协议 。 
已 知 Alice 和 Bob 有 一 个 共同 的 系统 元 素 ae R,，Alice 从 
错误 分 布 中 取样 (wej ,计算 公 钥 p=as+e 给 Bob, Bob 从 x 中 
取样 (s',e’) ; 计算 HH=as +e'、 v=(as e)s'=ass' +es ， 之 后 
Alice 根据 收 到 消息 计算 y' = ws = (as'+e)js=ass'+es，Bob 增 
加 一 个 噪声 项 er ， 而 e" 同样 取 自 x ，Bob 计算 得 到 
VW=ass'+es'+e”， 由 于 s,s ,e,e' 及 er 是 很 小 的 量 ， 因 此 ， 
ws 内 sass'， 这 个 结论 正 是 基于 加 密 机 制 构造 密 钥 交换 协议 的 
础 。 
在 LWE 加 密 方案 中 , Bob 通过 编码 函数 将 一 个 秘密 消息 y 
变 成 较 大 的 值 ，k = Encode(v)， 计 算 。=v+k， 并 将 jw、c 发 
送 给 Alice, Alice 计算 kr=c-v ~xk， 即 恢复 了 k 的 值 , 注意 ， 
编码 函数 必须 是 单 射 函数 ，Alice 才能 恢复 最 原始 的 消息 v 。 表 
2 为 基于 加 密 机 制 构造 密 钥 交 换 协 议 的 描述 。 

表 2 基于 加 密 机 制 构造 的 密 钥 交换 协议 


[ou 


KEM.Setup(): 
at——R, 
Alice Bob 
KEM.Gen(a): KEM.Encaps(a,b): 
S,E€ 7 S$',66 <7 
baste 一 ”> Has'+t+e 
vV€bs'+e” 
ve—{0,1} 
k <— Encode ( v) 
KEM.Decaps (s,(10)) :ee Ca 
V's LH < Extract(k) 
Kk' <c—v 


HL < Extract(k’) 


1.3.3 两 种 构造 方式 的 优势 与 劣势 

在 基于 格 LWE 问题 设计 的 密 钥 交换 协议 中 使 用 调和 机 制 
构造 方式 可 以 减少 通信 和 量 ， 这 正 是 其 优势 所 在 ， 但 是 调和 机 制 
所 使 用 的 调和 函数 计算 相当 复杂 。 使 用 调和 机 制 构造 的 密 钥 交 


加 ChinaXiv 合 作 期 逢 
录用 稿 李子 臣 ， 等 : 一 种 新 型 基于 格 上 LWE 问题 密 钥 交换 协议 的 


换 协 议 主 要 有 基于 RLWE 设计 的 NewHope 和 基于 LWE 设计 议 NewFrodo。 该 方案 是 基于 LWE 构造 的 可 证 明 被 动 安全 的 密 
的 Frodo。 而 使 用 加 密 机 制 的 构造 方式 设计 的 密 钥 交 换 协 议 的 ” 钥 交 换 协 议 ， 避 免 使 用 计算 复杂 的 一 般 化 错误 调和 机 制 ， 并 使 
多 势 是 在 计算 上 更 为 简洁 高 效 ， 但 是 较 之 调和 机 制 增加 了 通信 用 NIST 杂凑 函数 标准 SHA-3 有 效 提高 了 安全 性 能 ， 可 抵御 量 
量 ， 为 了 降低 通信 和 量 的 大 小 ， 在 加 密 机 制 中 往往 使 用 密 文 压缩 。 子 攻 击 ， 并 且 计 算 简 洁 高 效 。 

技术 , 将 密 文 元 素 从 2 映射 到 Z, 上, 其 中 p<q。 密 文 的 低位 该 方案 中 ， 为 有 效 抵御 量子 攻击 ， 对 参数 作 如 下 设置 : 其 
比特 主要 是 噪声 信息 ,运用 密 文 压缩 技术 ,会 使 这 些 信息 丢失 ， 中 维度 =752， 模 数 g = 25 ，Y 为 抽样 效率 较 高 的 离散 概率 密 
但 是 这 些 噪 声 信息 的 丢失 对 于 恢复 其 所 加 密 得 到 的 密 钥 影响 度 函 数 (PDF) 构成 的 扰动 分 布 ， 参 数 协 =5=8，B=4， 并 是 
不 大 。 使 用 加 密 机 制 构 造 的 密 钥 交换 协议 主要 为 基于 RLWE 设 满足 元 .元 .B>256。 其 体 参 数 选择 参考 文献 [15]。 下面 分 别 为 方 
计 的 NewHope-Simple 和 基于 模 LWE 设计 的 Kyber.KE. 综 上 ， 案 法 

目前 基于 LWE 问题 被 动 安全 的 密 钥 交换 协议 主要 基于 以 上 两 
种 机 制 设计 ， 两 种 机 制 有 其 各 自 的 优势 与 劣势 。 


， 输 入 是 


算法 1 NFEncode 对 应 函数 请: 天， “| 各 
4 y 2 | 


SF 


E 阵 K eZ%"”， 和 矩阵 元 素 为 K; ，0<i< 而 -1,0<J< 元 -1， 输 
出 是 矩阵 K, eZ” ， 和 矩阵 元 素 为 Ks ，0x<i< 而 -1 ， 
2.1 Frodo 密 钥 交换 协议 0< jsn-l; 

2016 年 CCS 大 会 上 ，Bos 等 人 提出 了 基于 LWE 问题 的 密 
钥 交 换 协议 Frodo， 参 数 n=756，4g=25，Y 是 一 种 抽样 效率 
较 高 的 离散 概率 密度 函数 构成 的 扰动 分 布 ， 其 中 击 = 元 =8， ” 甜 阵 KK、e Zw” ,矩阵 元 素 为 Khy ，0<i< 而 -1，0<7< 元 -1， 


2 ”基于 LWE 问题 的 密 钥 协商 协议 


B 
算法 2 NFDecode 对 本 下 输入 是 
q 


B=4。 由 于 志 . 元 .B>256, 这 样 协议 可 以 达到 128 比特 的 后 量 《输出 是 矩阵 K'eZ%”， 和 矩阵 元 素 为 Kh ，0<i< 而 -1 ， 


子安 全 水 平 。 元 .7 是 LWE 问题 的 维度 ，B 是 双方 提取 的 矩阵 0<j<A-l; 

每 个 元 素 的 密 钥 比 特 值 ，B 变 大 时 ， 声 .7 相应 减 小 ， 即 降低 了 算法 3 jyan! 为 字符 串 转 换 为 矩阵 ， 对 应 函数 

和 矩阵 的 维度 , 这 样 可 以 有 效 减 少 带宽 , 而 且 可 以 有 效 避 免 Lojam fiK; {Vv Va Vs},0 sks64 ， 输入 是 字符 串 

攻击 。Frodo 方案 如 表 3 所 示 。 下 
四 ef0TJ {Yavin Vr Vs} 0O<sK<64 ， 输 出 是 矩阵 


表 3 Frodo 密 钥 交 换 协议 


K eZ%" ,B=4，, 秆 阵 元 素 为 Kj ,0<i<m-1， 0<j<A-l; 


Alice Bob 

算法 4: yyans? 为 矩阵 转换 为 字符 串 ， 对 应 函数 
$ 3 Sa 
seed zf ) f : {Ve Wer Var ess} Ki,0 <k<64 ,输入 是 矩阵 KK eZ 
1 > 1 和 二 RE 人、 日 上 
A ¢ Gen(seed,) B=4; 矩阵 元 素 为 K;, O0<i<m-1l, 0<j<A-l,; 输出 是 字 

S,E¢cS— x(Z") 符 串 Vv e{0,1}™ {ViVi Va Vs},0 <k <64. 

上 下 面 是 方案 的 具体 执行 过 程 : 
BAS+E oa A Gen(seed,) 


a) 首 先 Alice 从 {0,1}* 随机 均匀 抽样 , 得 到 密 钥 种 子 seed, ， 


SEes zx(2”) 通过 Gen 函数 形成 矩阵 A eZ” ， 从 噪声 分 布 中 随机 均匀 抽 
样 得 到 和 矩阵 S,E eZ ，Alice 计算 B=AS+E 得 到 和 矩阵 


BeSA+E 
B,B eZ"”, Alice 将 seed,,B 发 送 至 Bob; 
2) b) Bob 同样 利用 seed, 产生 相同 的 矩阵 A eZ ， 从 噪声 
ee 分 布 z 中 随机 均匀 抽样 得 到 矩阵 SE'e Zw ，Bob 计算 
B'=S'A+E'，B'eZ?””。 从 噪声 分 布 x 中 随机 均匀 抽样 得 到 甜 
< 一 CoV 阵 E"e Zw” ，v 是 一 段 长 度 为 256 比特 的 {0,1} 字符 串 ， 使 用 
SHA3 -256 得 到 字符 串 ,再 经 过 jrans! 将 字符 串 转 变 为 元 x 元 
ee Kclvl, 的 矩阵 攻 ， 且 从 阵 中 的 每 个 元 素 K, eZ,, ， 对 算 阵 K 由 
NFEncode 函数 得 到 秆 阵 K,，Bob 计算 C=SB+E"+K， ， 发 
2.2 ”新 型 密 钥 交换 协议 NewFrodo 送 矩 阵 B 、C 给 Alice。 Bob 对 v 使 用 SHA3-256 得 到 共享 密 钥 
Frodo 方案 是 一 个 通过 一 般 错 误 调和 机 制 方式 构造 的 密 铀 。 SK ; 
交换 协议 ， 这 种 构造 方式 虽然 高 效 但 计算 复杂 。 本 文 在 Frodo OAlice 计 算 K,=C-BS，K, eZ”™"，K, 由 NFDecode 
方案 基础 上 ， 基 于 加 密 机 制 构造 了 一 种 新 型 实用 的 密 钥 交换 协 ”得 到 矩阵 K' ，K' 经 过 jyans? 由 矩阵 转变 为 长 度 为 而 .元 .有 的 字 


录用 稿 


pr 中 


符 串 yr , Alice 对 字符 串 w 使 用 SHA3-256 得 到 共享 密 钥 SK， 。 
上 述 方案 ， 由 双方 的 传输 消息 进行 方案 的 相关 正确 性 分 
析 : 将 Bob 计算 量 C=SB+E'+K 代入 Alice 计算 式 
K、=C-BS=SB 


， 由 于 EE，E ， 了 区 是 很 小 的 量 , 因此 可 得 K, =C-B'S=K,。 


NFEncode ， NFDecode 可 得 K'xK ， 进 而 可 得 
SK, =SK =SK 。 
表 4 本 文 设计 方案 
Alice Bob 


Seed < 一 5(fo) 


A ¢ Gen(seed,) 


S,E¢—7zx(Z") 


B<-AS+E A ¢ Gen(seed, ) 


e{0,1} xZ0™ 
S,E zx(Z™) 


BSA+E 
Ec zx(2"™) 


ve —{0,1}™ 


v' <— SHA3— 256(v) 
K < trans! (v) 


Ks < 一 NFEconde( K) 


K, CC-B'S CoSB+E +K, 


eZ 


K' ¢ NFDecode(K, ) SK; < SHA3—256(v’) 
Vv €— trans” (K’) 


SK, < SHA3—256(v") 


3 ”安全 性 分 析 


本 文 协议 被 动 攻击 下 可 证 明 安 全 ， 首 先 通信 报 文 不 泄露 关 
于 秘密 的 信息 ,其 次 需 证 明 双 方 交换 的 密 钥 与 随机 数 不 可 区 分 。 
考虑 敌手 M 尝试 在 给 定 密 钥 交 换 协 议 中 区 分 会 话 密 钥 SK 和 均 
匀 随 机 密 钥 sg' ,定义 敌手 M 赢得 游戏 的 优势 为 


4dwz7saz(aL)= 
[Pr[M (A,B,B',C,SK)=1]-Pr|M(A,B,B',C,SK’)=1]. 


定理 1 令 n,7i, 克 ,B 和 q 是 有 效 整数 ,x 是 Z 上 一 特定 错 
误 分 布 ， 如 果 Gen 是 一 个 安全 的 伪 随 机 函数 ， 并 且 设 置 参数 为 
(nq,x)， 此 时 判定 性 LWE 问题 是 困难 的 ， 即 本 文 提出 的 密 钥 
交换 协议 产生 的 密 钥 是 难以 区 分 的 ， 即 
(M)<s4dvey (B,)+ 


nAdve (MB)+m:Adve (M .已 ) 


Nn,g,xX 4 


Adv te 


n,n,m,B,q,x 


表 5 为 B ，B, 算 法 的 具体 流程 ，B, 隐 合 在 证 明 中 。 


FE’+Ks -B'S=S'(AS+E)+E’+Ks (SA+E')S 


和 \ 
四 全 


_ ChinaXn\ ml) 
:一 种 新 型 基于 格 上 LWE 问题 密 


表 5 算法 的 具体 流程 


B (A,B): 
1S,E'e—z(2Z™”) 
2B'eSA+E 
3E'e—z(2Z™") 
4ves—{0l)}™ 

5v < SHA3-256(v) 
6K ¢-trans' (v') 

7.Ks < NFEncode(K) 
8CeSB+E’+K,;, 
9K, © C-B'S 

10.SK ¢- SHA3—256(v") 
lSK'es—U({01}™") 
12b SU({0,1}) 
13. 如 果 b = 0， 返 回 (4,B,B',C,SK) 


B,(Y,2): 


AT 
| | < 了 
274 (0 
3v'¢€ SHA3—256(») 

1 

se | ZL 
SK,¢C-B'S 
6.SK ¢- SHA3—256(y") 
75SK' (fo ”) 
8b' ee—({0,1)) 


9. 如 果 b”=0， 返 回 (4,B,B",C,SK) 
10 否 则 返回 (4, B,B",C,SK') 


14. 否 则 返回 ( 4,B,B,C,SK') 


证 明 在 下 述 游戏 证 明 中 ，$ 表示 在 Gome 中 表示 敌手 猜 
测 p* 的 值 ，p” e{0,1}。 


本 文 协 议 真实 产生 的 。 以 下 均 是 LWE 分 布 实 


例 , (A,B) 包含 秘密 值 Ss ,(A,B') 与 (B,V) 包含 秘密 值 s' ,因此 


ddh-like = 
Ad 元 Bt (M) 


pr(5,)- (1) 


Game. 公 钥 矩阵 A 是 随机 均匀 产生 的 ,而 不 是 使 用 


Gen 函数 ， 


Seed, 伪 随 机 产生 的 。 


Game, 与 Game 的 区 别 :敌手 M 可 以 区 分 这 两 个 游戏 , 则 需要 一 
区 分 器 已 ，,B 


人 


|Pr(5,)—Pr(S)| < Adve,’ (B,) 2 


Game,. Alice 的 临时 公 钥 B 是 随机 均匀 产生 的 ， 而 非 从 
(2 如 =- 矩阵 的 判定 性 LWE 问题 实例 中 产生 ，LWE 分 布 实例 
(A,B') 和 (B,C) 都 有 秘密 矩阵 S' 。 

Game 与 Game, 的 区 别 : 在 Game 中 ， (A,B) 是 O, ,分布 
的 一 个 样本 ， 在 参数 为 (n,g,x) 的 判定 性 LWE 问题 的 假设 下 ， 
这 两 种 分 布 是 难以 区 分 的 。 

更 准确 地 说 ， 图 5 中 的 算法 5 的 输入 为 (A,B) ， 若 (A,B) 


是 0, 分布 的 一 个 样本 ， 并 且 满 足 Ses x(Z””)， 则 B, 的 输 


与 Game 输出 相同 ， 若 (A,B) 是 (ZZ )xU(Z*?) 分 布 的 一 个 


三 


样本 , 则 的 输出 与 Game, 的 输出 相同 , 输出 Bi 与 Game, 相同 。 
如 果 敌 手 M 可 以 区 分 Game 和 Game,， 那 么 MB 可 以 


区 | 
闻 


0 分布 和 ML(Z)xM( Zr ) 分 布 。 因 此 ， 


录用 稿 


Game;. Bob 的 临时 公 钥 B' 和 匀 


Cone 下旬 信和 人 sr 的 | 全 |] 是 Ce 二 而 -和 


|Pr(S)-Pr(S) 


B/C 


判定 性 LWE 问题 的 一 个 实例 。 


Game,. Bob 的 临时 公 钥 Br 和 入 
是 同时 从 gs' 中 产生 的 。 


Game; 与 Game, 的 


Game, 与 Game; 的 区 别 。 


Pr(S,)=Pr(S,) 


< 元 .4doo * (M.:B). 


G) 


E 阵 C 同时 由 S' 产生， 在 


分 析 可 知 


(4) 


(z+ 元 而 -矩阵 判定 性 LWE 问题 的 随机 0, 


个 样本 。 设 置 参数 为 (n,g,x) ， 在 判定 儿 
这 两 种 分 布 是 难以 区 分 的 。 更 准确 地 说 , 图 5 


+, ([AlB][B 


区 别 。 在 Game, 中 ， ([AlB],[B’ 


c]) 是 Ca ) xU (2"™™) 


E 阵 C 均 是 随机 均匀 产生 的 ,而 不 


加 


分 布 的 一 个 样本 。 


的 一 


E LWE 问题 的 假设 下 ， 


所 示 的 已 算法 将 


(Y,Z) eZ0*” 作为 输入 ， 若 (Y,Z) 是 (n+ 元 而 一 矩阵 判定 性 


LWE 问题 的 随机 O,。 分 布 的 一 个 样本 , 且 满 足 $S< 一 X( Zi) 


则 B, 的 输出 与 Game; 输 出 相同 , 若 (A,B) 是 (ZY )xU(Z”) 


分 布 的 一 个 样本 , 则 B, 的 输出 与 Game, 的 输出 相同 。 如 果 敌 手 
区 分 Games 和 Game, ， 那 么 M.B, 可 以 区 分 0,, 和 


M 可 以 


U(Z0™"")xU(Z") 这 两 种 分 布 的 样本 。 因 此 ， 


[Pr(s;) -Pr(S,)| < 而 .Ad (M oB,). 


Game 的 分 析 . 政 如 


可 得 


综合 等 式 (1) ~ (6)， 定 理 1 得 证 。 


知 和 矩阵 C ， 在 给 
SK 也 是 随机 均匀 的 ， 因 此 ， 政 手 M 无 法 得 到 六 的 任何 信息 ， 


下 


(5) 


FM 猜测 p* 的 值 从 而 来 区 分 gg 和 gg'， 


在 Game, 中 ，sSK' 是 从 {0 中 随机 均匀 产生 的 , 敌手 M 已 


定 C 的 情况 下 ， K, 是 随机 均匀 的 ， 进而 可 得 


Pr(S,) -5 


本 文 提 出 的 


根据 Regev 给 出 


(6) 


基于 LWE 问题 构造 的 密 钥 交 换 协 议 NewFrodo， 
的 格 最 坏 情 况 困难 问题 到 LWE 问题 的 归 约 结 


论 , 该 协议 的 安全 性 最 终 可 以 基于 格 下 标准 最 


因此 ， 本 文 提 出 的 密 钥 交换 协议 在 被 动 攻 


4 ”效率 分 析 


前 


通过 


公开 的 学 术 文 献 ， 对 现 有 的 基 了 


坏 情况 困难 假设 。 


二 下 可 证 明 安 全 。 


F LWE 问题 来 构 


李子 臣 ， 等 : 一 种 新 型 基于 格 


ChinaXiv 合 作 期 刊 
交换 协议 的 设计 


上 LWE 问题 密 钥 


造 的 被 动 安全 的 密 钥 交 换 协 议 进行 综合 分 析 。 为 了 说 明 方 案 的 


优 务 , 选取 最 典型 的 BCNS15t? 


Frodo 四 个 方案 , 通过 密 钥 交换 协议 方案 的 参数 设 


、 Newhope、 NewHope-Simple、 


、 困难 问题 


假设 、 使 用 的 KEM 方式 、 消 息 长 


度 等 方面 


显 本 方案 综合 性 能 。 表 1 是 本 方案 
的 密 钥 交换 方案 进行 对 比 。 


与 现 


1|， 进 行 对 比 以 便 突 
有 的 基于 RLWE、LWE 


BCNS15 方案 选取 的 参数 为 维度 n=1024， 模 数 q= 2 _1， 


错误 分 布 是 离散 高 斯 分 布 


方差 为 4V2/ 。 在 该 参数 的 设置 下 ， 
x 


最 终生 成 共享 会 话 密 钥 失败 的 概率 很 低 , 后 量子 安全 性 约 为 80 
比特 。 该 方案 通信 双 发 最 终 可 生成 1024 比特 大 小 的 共享 密 钥 ， 


但 在 实际 需求 中 仅 需 256 比特 ，2015 恒 


FE，Akim 等 人 全 面 提升 


了 BCNS15 协议 ,提出 了 一 种 基于 RLWE 问题 的 协议 NewHope 


密 钥 交换 协议 ， 在 参数 设置 方 


面 采 用 了 相同 的 多 


E 度 n， 模 数 


q=12289， 错 误 分 布 为 中 心 二 项 分 布 。 方 差 为 8， 在 该 参数 的 设 


置 下 ， 使 得 生成 共享 密 钥 失败 的 概率 可 以 忽略 ， 并 且 后 量子 


全 性 达到 了 206 比特 。 选 取 中 心 二 项 分 布 代 替 原 来 的 离散 高 
分 布 ， 大 大 提高 了 协议 的 计算 效率 ;2016 年 Akim 等 人 提出 
基于 加 密 机 制 构造 的 协议 NewHope-Simple, 参数 设置 包括 维 


n， 模 数 q 以 及 错误 分 布 与 方差 均 相 同 。 通 
计算 复杂 的 调和 技术 ， 协 
司 ， 因 此 共享 密 钥 失败 概率 


比 只 增加 了 6.25%， 但 是 方案 未 使 
议 更 加 简洁 高 效 。 由 于 参数 设置 相 


洱 沧 洽 台 


言 量 与 NewHope 相 


几乎 相等 


日 后 量子 安全 性 相同 均 为 206 比特 ; 


于 RLWE 问 


a 


题 其 环 上 特殊 的 代数 结构 存在 安全 


安全 会 议 上 Bos 等 人 基于 LWE 问 


E 的 潜在 威胁 ， 


2016 年 CCS 


题 使 用 调和 机 制 构造 了 一 种 


密 钥 交换 协议 Frodo, 根据 


住 荐 参数 , 维度 n=756, 模 数 d= 25 ， 


错误 分 布 为 抽样 效率 更 高 的 离散 概率 密度 (PDF ) 函数 构成 的 


扰动 分 布 ， 方 差 为 1.75， 
在 每 次 执行 rec 函数 时 可 以 得 到 4 


忽略 ， 且 该 方案 后 量子 安全 性 达到 
本 方案 与 基于 LWE 


通 


价 , 避免 使 ) 


计算 


进 
此 协议 失败 概率 也 可 忽略 ， 后 量子 


杂 的 调和 机 制 而 使 月 


于 协议 使 用 了 更 一 般 的 调和 机 制 ， 


一 


比特 数据 ， 使 得 生成 共享 密 
钥 失败 的 概率 增加 ， 但 在 参数 设置 下 ， 使 得 失败 概率 依然 可 以 


了 130 比特 。 


问题 构造 的 Frodo 协议 相 比 ， 以 一 方 
定量 从 11 296 Byte 增 至 11 520 Byte, 仅 增加 1.09% 的 微小 代 
计算 简单 的 加 密 机 制 ， 
方案 计算 更 加 简洁 高 效 , 并 使 用 了 NIST 杂凑 函数 标准 SHA-3， 

步 提高 了 协议 的 安全 度 。 参 数 设置 与 Frodo 方案 相同 ， 


安全 性 也 达到 130 bit。 且 该 


协议 在 被 动 攻 击 下 可 证 明 安 全 ， 


5 ”结束 语 


可 有 效 抵御 量子 攻击 。 


本 文 设 计 了 一 种 基于 格 上 LWE 问题 的 被 动 安全 的 密 钥 交 
换 协议 ， 结 合 Bos 等 人 提出 的 被 动 安全 的 密 钥 交换 协议 Frodo 
以 及 Alkim 等 人 提出 的 密 钥 交换 协议 NewHope-Simple 的 突出 


< 


已 势 。Frodo 协议 使 / 
沁 制 rec 函数 计算 复杂 ， 本 文 方案 


St 


调和 机 制 , 虽然 通信 和 量 较 小 , 但 错误 调和 


正 是 避免 使 用 


而 借鉴 了 NewHope-Simple 中 的 基 


于 加 密 机 制 的 构造 方式 ， 使 


普 误 调和 机 制 


录用 稿 


得 计算 更 加 简洁 高 效 。 与 基于 RLWE 问题 构造 的 密 钥 交换 协议 
相 比 ， 虽然 密 钥 尺寸 较 大 , 但 RLWE 问题 附加 环 的 代数 结构 存 
在 潜在 的 安全 性 威胁 ， 基 于 LWE 问题 较 之 RLWE 问题 设计 的 
密 钥 交换 协议 在 安全 性 能 上 更 加 稳健 。 最 近 ，Bos 等 人 提出 了 


Chir : 
李子 臣 ， 等 : 一 种 新 型 基于 格 上 LWE 问题 密 铺 


nN 全 -i 
4 设计 


于 || 
| 


种 基于 模 LWE 问题 的 高 效 安全 的 密 钥 交换 协议 KyperKEP0。 
下 一 步 考 虑 基于 LWE 问题 、 RLWE 问题 及 模 LWE 问题 设计 出 
更 加 实用 、 高 效 的 密 钥 交换 协议 。 


表 1 基于 RLWE 与 LWE 的 密 钥 交换 协议 的 性 能 比较 
| 模 数 错误 分 布 x 、 i 通信 量 (byte) 后 量子 安 
方案 维度 n 困难 假设 ”构造 方式 通信 计算 复杂 度 
q 方差 0? A—»B BA 全 (bit) 
BCNS15 1024 ”2*_1 高 斯 分 布 、 442] RLWE 调和 机 于 n+2nlog,q 4096 4224 80 
NewHope 1024 12289 二 项 分 布 、8 RLWE 调和 机 秆 2n+2nlog,q 1824 2048 206 
NewHope- 
1024 12289 二 项 分 布 、8 RLWE [ 密 机 种 3n+2nlog,gq 1824 2176 206 
Simple 
Frodo 756 25 ”PDF 扰动 分 布 、1.75 LWE 调和 机 得 (n+m(nlog,q+l) i13977 11296 130 
本 方案 756 25 ”PDF 扰动 分 布 、1.75 LWE [0 密 机 种 (N+m)(nlog, 9 十 4 11377 11520 130 
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